Sécuriser l'accès à VMware vCenter Server (VCSA) en HTTPS sous VMware vSphere 6.7

13. Réinitialiser le certificat SSL machine (en cas de problème)

Lorsque vous tentez de remplacer le certificat SSL machine de votre serveur VMware vCenter Server (VCSA), vous devez ensuite redémarrer les services de votre serveur pour que ce nouveau certificat SSL soit utilisé.
Néanmoins, il peut arriver qu'un problème survienne et que vous ne puissiez plus accéder à l'interface web de votre serveur VMware vCenter Server (VCSA).

Plain Text

[400] Une erreur s'est produite lors de l'envoi d'une demande d'authentification vers le serveur vCenter Single Sign-On - Une erreur s'est produite lors du traitement des métadonnées pendant la configuration de vCenter Single Sign-On - Failed to connect to VMware Lookup Service https://vcsa.informatiweb.lan:443/lookupservice/sdk - SSL certificate verification failed.

Pour régler ce problème, vous devrez réinitialiser le certificat SSL machine de votre serveur pour pouvoir réaccéder à son interface web.
Pour cela, connectez-vous en SSH sur votre serveur VCSA en tant que "root".
Accédez au shell BASH Linux :

Bash

shell

Puis, utilisez le gestionnaire de certificats de VCSA :

Bash

/usr/lib/vmware-vmca/bin/certificate-manager

Dans le gestionnaire de certificats qui apparait, choisissez l'option 3 pour remplacer le certificat SSL machine par un certificat qui sera émis par l'autorité de certification VMCA (qui est approuvée par défaut sur votre serveur VMware vCenter Server (VCSA)).

Plain Text

Welcome to the vSphere 6.7 Certificate Manager
...
3. Replace Machine SSL certificate with VMCA Certificate
...
Option[1 to 8]: 3

Indiquez un nom d'utilisateur autorisé à gérer les certificats sur votre serveur VCSA (par défaut : administrator@vsphere.local).
Note : appuyez simplement sur Enter pour utiliser le choix par défaut.

Ensuite, indiquez son mot de passe.

Plain Text

Please provide valid SSO and VC privileged user credential to perform certificate operations.
Enter username [Administrator@vsphere.local]:
Enter password:

Laissez toutes les valeurs par défaut, excepté les 2 dernières :

• Hostname : indiquez le nom de domaine complet de votre serveur VCSA pour que le certificat soit valide pour celui-ci.
• VMCA name : CA. Le nom "CA" étant le nom utilisé par défaut par l'autorité de certification "VMCA" sous VCSA.

Ensuite, confirmez le remplacement du certificat SSL machine en répondant "y" à la question :

Plain Text

You are going to regenerate Machine SSL cert using VMCA.
Continue operation : Option[Y/N] ? : y

Une fois tout le processus terminé, vous verrez ceci à la fin :

Plain Text

Updated 30 service(s).
Status : 100% Completed [All tasks completed successfully] 

Maintenant, tentez de réaccéder à l'interface web de votre serveur VCSA et un avertissement s'affichera concernant le certificat SSL utilisé.
Ignorez cet avertissement.

En effet, l'avertissement qui s'affiche est "SEC_ERROR_UNKNOWN_ISSUER" et est dû au fait que l'émetteur du certificat SSL utilisé est inconnu.
En l'occurrence, il s'agit de VMCA qui n'est pas une autorité de certification reconnue par votre ordinateur, mais uniquement par votre serveur VCSA.

Une fois l'avertissement ignoré, vous aurez accès à la page de connexion "VMware vSphere" de votre serveur VCSA.

Retournez dans le menu et cliquez sur : Administration -> Certificats -> Gestion des certificats.
Sur la page "Gestion des certificats" qui s'affiche, le certificat qui a été régénéré est le certificat "__MACHINE_CERT" (qui protège l'accès au client web "VMware vSphere Client").

Comme vous pouvez le voir, ce certificat "__MACHINE_CERT" est à nouveau délivré par "CA" (comme c'est le cas par défaut sous VCSA).

Si vous regardez les informations sur l'émetteur en bas de la page, vous verrez qu'il s'agit de l'émetteur "CA" et que l'unité d'organisation indiquée est "VMware Engineering". Ce qui correspond aux informations par défaut de l'autorité de certification VMCA présente sur votre serveur VCSA.

14. Certificats SSL des hôtes VMware ESXi considérés comme non valides

Sélectionnez un des hôtes liés à votre serveur VMware vCenter Server (VCSA) et allez dans : Configurer -> Système -> Certificat.
Comme vous pouvez le voir, le certificat est :

• valide pour le nom de domaine de votre hôte VMware ESXi étant donné que celui-ci est indiqué en tant que nom commun (CN) dans le certificat SSL utilisé.
  Dans notre cas : CN=esxi1.informatiweb.lan.
• émis par l'autorité de certification VMCA de votre serveur VCSA. Pour votre serveur VCSA, le certificat utilisé est donc considéré comme valide étant donné qu'il émane de l'autorité VMCA à laquelle il fait confiance par défaut.
  Ce que vous pouvez facilement vérifier en voyant que l'unité d'organisation (OU), l'organisation (O) et le nom commun (CN) de l'émetteur correspondent aux informations de votre autorité de certification VMCA.
  Ce que vous pouvez aussi voir sur l'image précédente.

Si vous tentez d'accéder à l'interface web d'un de vos hôtes VMware ESXi, vous verrez qu'un avertissement de sécurité apparait concernant le certificat SSL utilisé.

Comme d'habitude avec les certificats générés par l'autorité de certification VMCA de votre serveur VCSA, un avertissement s'affiche, car l'émetteur de son certificat est inconnu.
Ce qui correspond au code d'erreur : SEC_ERROR_UNKNOWN_ISSUER.

Si vous cliquez sur le lien "Afficher le certificat", vous verrez à nouveau que :

• ce certificat est valide est pour le nom de domaine complet de votre hôte VMware ESXi.
  En effet, dans notre cas, le nom courant indiqué est : esxi1.informatiweb.lan
• ce certificat a été émis par l'autorité de certification VMCA.
  D'où le nom courant qui est : CA vsphere local.

Ignorez l'avertissement pour y accéder.
Comme vous vous en doutez, votre navigateur web vous indiquera que la connexion n'est pas sécurisée étant donné que le certificat émane d'une autorité de certification à laquelle il ne fait pas confiance.